恶意代码分析入门--PE结构能告诉我们很多信息（chapter1_Lab01-04）

2023 年 06 月 14 日

196 次浏览

1629字数

> Lab 1-4
> 分析Lab01-04.exe文件。
>
> # 问题
>
> 1、将Lab01-04.exe文件上传至http://www.VirusTotal.com进行分析并查看报
> 告。文件匹配到了已有的反病毒软件特征吗？
> 2、是否有这个文件被加壳或混淆的任何迹象？如果是这样，这些迹象是什么？
> 如果该文件被加壳，请进行说壳，如果可能的话。
> 3、这个文件是什么时候被编译的？
> 4、有没有任何导入函数能够暗示出这个程序的功能？如果是，是哪些导入函数，它们会告诉你什么？
> 5、有哪些基于主机或基于网络的迹象，可以被用来确定被这个恶意代码所感染的机器？
> 6、这个文件在资源段中包含一个资源。使用Resource Hacker.工具来检查资源，然后抽取资源。从资源中你能发现什么吗？
>
> # 操作环境
>
> 操作场景：
> windows xp sp3
>
> 实验工具：
> PEiD v0.95
> Strings
> Resource Hacker（新工具-可以将资源提取出来）
> PETools
> VirSCAN.org
>
> 实验文件：
> Lab01-04.exe
>
> # 实验思路
>
> 1.利用网络扫描工具对目标程序进行扫描
> 2.利用本地静态分析工具分析目标程序
> 3.提取资源中的内容

查壳无壳就不说了，然后用loadpe的pe编辑器查看程序编译的时间

![image.png](https://www.oisec.cn/usr/uploads/2023/06/1346580363.png)

由于作者的视频教程是2015年录制的，所以这个2019年的时间显然不准确啊，是被恶意修改了的。

## 4

![image.png](https://www.oisec.cn/usr/uploads/2023/06/2747739430.png)

WinExec可以执行一个程序，可以看到他有很多的关于Resource的资源的操作的API

![image.png](https://www.oisec.cn/usr/uploads/2023/06/3791063891.png)

还有以上一些关于提权的API

## 5

![image.png](https://www.oisec.cn/usr/uploads/2023/06/2777034910.png)

看到最后一个网址，很有可能就是恶意程序要打开的网址

\system32\wupdmgrd.exe有可能就是将自己改名放到了这个system32目录下